无需“暴力”破解设备、也无需反复搭建模拟环境,麒麟框架的出现可谓解决了IoT安全研究中的一大难题。
在谷歌公司日前公布的全球优质开源项目名单中,京东探索研究院信息安全实验室自主研发的麒麟框架入选,核心研发团队还被授予导师机构(Mentor)身份,为2022年Google Summer of Code(GSoC,谷歌编程之夏)活动提供专业技术指导。
聚焦IoT安全分析,麒麟框架最强大的应用体现在帮助技术人员虚拟一个 “无实物”的系统环境,从而高效展开漏洞分析,改变了物联网安全研究、恶意软件分析和逆向工程困难的现状。
就应用而言,麒麟框架致力为无人配送、智能供应链等业务场景提供安全守护。2019年推出以来,麒麟框架还获得了包括中科院、复旦大学、腾讯、华为、苹果、谷歌、微软等的研究开发,并编写安全工具。
自2005年GSoC开展至今,麒麟框架系首批中国团队主导研发,且获得上述资格的项目之一,体现了京东信息安全技术带来的价值沉淀,力争为自身业务发展提供安全守护的同时,对外输出安全能力,提升行业安全水位。
1:1虚拟技术环境
麒麟框架打破IoT安全分析困境
对于IoT厂商和信息安全行业而言,通过逆向工程分析漏洞都是一项必要课题。然而,黑客攻击和IoT设备往往运行于不同的操作系统和CPU架构中,传统的二进制分析法因此暴露了成本高、精确性低、分析能力不足等先天缺陷。
正如麒麟框架负责人、京东集团信息安全部高级研究员刘凯仁所言,“Fuzzing(模糊测试)只能在硬件上运行,但在一个低功耗、低性能的‘板子’上面做漏洞挖掘是非常难的。麒麟框架以前,逆向研究在没有实体IoT硬件的条件基本无法实现。”
也是基于这样的行业痛点,京东探索研究院信息安全实验室突破了传统分析方法的多种束缚,于2019年正式发布了麒麟这一可以跨平台和CPU架构的动态二进制分析框架。
针对麒麟框架的强大的功能,刘凯仁介绍称,其可以支持动态二进制插桩( Binary Instrumentation)框架,允许随意修改目标文件的运行行为,方便研究人员执行不同格式和架构的文件,全方位的分析不同的代码路径,从而在没有源代码的情况下,完美应对代码混淆技术,轻松突破目标文件的反逆向防御。
相较于传统动态二进制分析程序,麒麟框架还可以在Linux、BSD、OSX或Window等多种系统平台中运行,且没有CPU架构的限制。
简单来说,麒麟框架提供了一种可以利用主机分析IoT硬件的解决方案,不仅能在无硬件的情况下1:1虚拟技术环境,还可以利用高性能主机对低型性能的固件进行分析。此外,麒麟框架还具备强大的灵活开放性,适配市场上其他调试工具 ,允许工程师跨平台和CPU架构进行研究操作。
在国内外权威开源社区中,麒麟框架目前已成为支持平台或架构最广的动态二进制分析框架之一,并被评价为“以极少的资源化解了IoT只能在弱小的硬件或原始虚拟机上的分析窘境,打破了困扰IoT行业多时的安全分析窘境”。
守护IoT、工控互联网场景
麒麟框架应用前景广阔
无论是对京东业务的安全守护,还是对IoT行业的技术赋能上,麒麟框架均体现了广泛的应用前景。
例如在近来大热的智能车联领域,京东现已成为无人配送赛道的领跑级玩家,并基于自主运营的物流业务,打造了多个复杂的车路协同解决方案。
2020年10月,京东宣布与江苏省常熟市合作打造了“全球首个无人配送城”;2021年,北京市高级别自动驾驶示范区颁发了国内首批无人配送车车辆编码,京东物流率先实现无人配送车“持证上岗”……
在前端业务的不断突破下,麒麟框架将会致力为IoT设备、工控系统提供安全保障,守护相关业务的安全发展。
此外,麒麟框架还不断吸引着来自全球各地的安全研究人员进行技术代码和文档编写,在业内产出了不少有价值的贡献成果。其中,腾讯、华为、苹果、谷歌、微软,以及复旦大学、中科院、上海交大等国内外技术公司和高等学术机构的安全团队,均在麒麟框架基础上开展各类研究或编写安全工具。
近年来,京东的 “技术派”形象正深入人心。自2017年全面向技术转型以来,京东体系在基础科学和技术研发的投入近800亿元,在诸多前沿技术和应用技术领域均取得丰硕成果。以麒麟框架探索破解IoT安全分析困境,便是京东信息安全技术带来的价值沉淀。
放眼未来发展,京东探索研究院信息安全实验室也将持续深耕安全研究,力争从场景安全走向生态安全,为自身业务发展提供安全守护的同时,对外输出安全能力,提升行业安全水位。